Um YouTube konform nach DSGVO in WordPress einbetten zu können nutze ich das Plugin Lazy Load for Videos des Entwicklers Kevin Weber. Das Plugin unterstützt Videos der Plattformen YouTube, sowie Vimeo und bindet vorab nur ein Teaserbild des Videos ein. … Weiterlesen →
Der Beitrag WordPress: YouTube und DSGVO erschien zuerst auf Got tty.
Um das Autoscaling der hochgeladenen Bilder von max 2560px in Höhe bzw Breite zu unterbinden ist folgende Zeile in der functions.php nötig Wird dies nicht vorgenommen werden alle neu hochgeladenen Bilder in Ihrer maximalen Größe (…) Weiterlesen
Der Beitrag Autoscaling in WordPress 5.3 erschien zuerst auf Got tty.
Angreifern von WordPress keine Chance geben
WordPress Seiten findet man immer häufiger im Internet. Das schlanke CMS ist sehr einfach zu bedienen und deshalb auch für Einsteiger interessant. Auch Firmen nutzen zum Start ins Internet sehr oft WordPress und tragen so zur rasanten Verbreitung bei. Die vielen Installationen von WordPress machen das Content-Management-System auch für Angreifer interessant. Die Bedienung von der Software ist so einfach, dass auch Web-Anfänger WordPress installieren und sich danach wenig um die Updates kümmern. Das öffnet Angreifern Tür und Tor.
Auch bei aktuell gehaltener Software und einer Minimalanzahl von Plugins gibt es genügend Schwachstellen, die man angreifen kann. Die größte Schwachstelle – und da kann WordPress selbst leider wenig machen – ist der Benutzer selbst. Durch zu leichte Passwörter lassen sich viel zu einfach Webseiten übernehmen.
In wenigen Ausnahmefällen interessiert sich der Angreifer tatsächlich für diese spezielle Webseite. Ein Wettbewerber könnte bei einer Firma gezielt Falschinformationen verbreiten, um sich selbst als besser da zu stellen. Das kommt vermutlich eher seltener vor.
In den allermeisten Fällen interessiert sich der Angreifer nicht für die eigentliche Webseite. In erster Linie geht es um die Übernahme des Servers bzw. zumindest des Speicherplatzes. Wer ins Backend von WordPress kommt, hat die Berechtigung, Dateien hochzuladen. Das ist ganz interessant, vor allem wenn es um urheberrechtlich geschütztes Material geht. Noch brisanter wird es, wenn es um illegale Daten geht, etwa gewaltverherrlichende Videos oder Kinderpornografie.
Als dritten Grund möchte ich Suchmaschinenoptimierung nennen. Wer von vielen Internetseiten Links auf seine Seite erhält, wird bei Google besser gerankt. Wer viele Zugangsdaten zu Webseiten hat, kann auch viele Links streuen und damit besser bei Google gefunden werden.
Es gibt sehr viele Sicherheits-Plugins für WordPress, die einem das Blaue vom Himmel versprechen. Zweifelsohne: Einige davon mögen hilfreich sein. Effektiver ist es aber, die Sicherheitsfunktion des Servers zu nutzen. Diese schützen auch vor so genannten Brute Force Attacken, bei denen Angreifer mit viel Rechenpower versuchen, die Passwörter zu erraten.
Mit der .htaccess-Datei kann man die Sicherheitsfunktion des Servers nutzen. Dabei ist das Prinzip so: Wenn man sich bei WordPress einloggen möchte, wird die Datei wp-login.php verwendet. Ohne diese Datei kann man sich nicht im Backend einloggen. Mit der .htaccess-Datei gibt man dem Server die Anweisung, dass nicht jeder auf diese Datei zugreifen darf. Wer diese Datei aufruft, muss seine Berechtigung dazu nachweisen – über einen Benutzernamen und Passwort.
Mit zwei einfachen Textdateien kann man den Serverschutz aktivieren.
Schritt 1: Zunächst erstellt man die .htpasswd. Mit z.B. dem htpasswd-Generator kann man das Passwort verschlüsseln lassen und im Editor von Windows speichern. Mehrere Einträge sind möglich und sollten untereinander in die Datei geschrieben werden. Speichert die Datei unter dem Namen a.htpasswd auf dem Rechner ab.
Schritt 2: Jetzt erstellt man die .htaccess-Datei und füllt sie mit folgendem Inhalt. Speichert sie unter dem Namen a.htaccess auf dem PC ab.
# Stop Apache from serving .ht* files <Files ~ "^.ht"> Order allow,deny Deny from all </Files> # Protect wp-login <Files wp-login.php> AuthUserFile /pfad/zur/.htpasswd AuthName "Private access" AuthType Basic </Files>
Die Zeile die mit AuthUserFile anfängt, muss natürlich angepasst werden. Wenn ihr nicht wisst, wie der genaue Pfad dorthin lautet, erstellt fix eine PHP-Datei (zum Beispiel „pfad.php“) mit folgendem Inhalt, ladet sie mit FTP hoch und ruft sie im Browser auf (www.example.com/pfad.php). Löscht die Datei danach gleich wieder!
<html> <head> <title>absoluter-pfad</title> </head> <body> <?php echo $_SERVER['DOCUMENT_ROOT']; ?> </body> </html>
Schritt 3: Beide Dateien, a.htaccess und a.htpasswd werden mit FTP im WordPress-Hauptverzeichnis abgelegt.
Mit FTP die htaccess-Datei in das WordPress Hauptverzeichnis ablegen
Schritt 4: Benennt beide Dateien auf dem Server um, indem ihr das a vor dem Punkt entfernt. Die Dateien heißen jetzt .htaccess und .htpasswd und entfalten ihre Funktionen.
Hinweis: Falls dort schon .htaccess ist, öffnet die alte Datei und fügt den neuen Inhalt unten drunter hinzu!
Professionelle Angreifer sitzen nicht mehr selbst am PC und versuchen die Passwörter zu knacken. Stattdessen nutzen sie Bot-Netzwerke und greifen automatisiert WordPress-Seiten an. Die Bots suchen gezielt nach einfachen Systemen und nutzen Schwachstellen von WordPress. Wenn dieser Bot nun auf das zusätzliche Sicherheitssystem stößt, bricht er entweder ab, oder er bricht sich die Zähne aus.
Das wichtigste ist natürlich, die Software aktuell zu halten. Die Entwickler von WordPress bringen immer mal wieder Updates für die Software heraus, die man stets installieren sollte. In den meisten Fällen geht es dabei um Sicherheitsupdates.
Weiterhin sehr wichtig sind sichere Passwörter. Noch ist diese Botschaft nicht bei jedem angekommen, denn viel zu viele Leute verwenden viel zu einfache oder zu kurze Passwörter.
WordPress ist ein Content-Management-System (CMS), das sich sehr weit verbreitet hat. Die Einfachheit der Installation und Bedienung hat stark dazu beigetragen, dass sich WordPress im Internet zu einer starken Größe etabliert hat. Viele Webseiten sind damit ausgestattet.
Kleine Firmen nutzen für ihre erste Webseite dieses CMS, denn mit nur wenigen Klicks ist die Internetseite erstellt und mit den vielen Plugins lässt sich der Funktionsumfang stark erweitern.
Die große Verbreitung von WordPress macht die Software interessant für Angreifer. Hacker freuen sich regelrecht auf so weit verbreitete Systeme. Wenn dort eine Sicherheitslücke bekannt wird, lassen sich gleich viele Webseiten angreifen und vielleicht sogar übernehmen. Umso wichtiger ist es, solchen Angriffen aus dem Internet vorzubeugen und zu wissen, wie sicher die eigene WordPress-Installation ist.
Um die eigene Webseite vor Angreifern zu schützen, gibt es verschiedene Wege. Der wichtigste Punkt ist es, die Software aktuell zu halten und regelmäßig die Updates zu installieren. Außerdem sind schwierige Passwörter wichtig für das Sicherheitskonzept. Die besten Sicherheitsmaßnahmen nützen nichts, wenn die Passwörter leicht zu erraten sind.
Um die Sicherheit auf der eigenen Webseite zu erhöhen, muss man zunächst die Schwachstellen kennen. Die Sicherheitslücken von WordPress kann man mit dem Programm wp-Scan aufdecken. Das kleine Tool untersucht WordPress-Installationen und zeigt Sicherheitslücken auf. Solche Scans sollte man von Zeit zu Zeit durchführen, um den Überblick zu behalten.
Um einen Angreifer entgegentreten zu können, sollte man seine Werkzeuge kennen. Wenn man diese Werkzeuge kennt, kann man sie selbst einsetzen und kämpft mit gleichen Waffen. wpscan ist dann schon der erste wichtige Schritt. Denn diese Software wird gerne verwendet, um verwundbare WordPress-Seiten zu finden.
Es gibt viele Plugins, die einem höhere Sicherheit für WordPress versprechen. Es gibt zum Beispiel Erweiterungen, die die WordPress-Version der Webseite verschleiern sollen. Außerdem können angeblich Benutzernamen versteckt werden. Auch den Namen „admin“ sollte man vermeiden.
Diese Sicherheitsmaßnahmen sind sehr gut, doch ihre Wirksamkeit kann man nicht einfach überprüfen. Mit wpscan kann man es, denn das versucht über verschiedene Wege, Infos aus der Webseite zu crawlen. Die Sicherheitsmaßnahmen der Plugins kann man sofort feststellen, indem man seine Seite mit wpscan überprüft.
Wpscan ist ein Projekt für UNIX und ist leider nicht auf Windows lauffähig. Um es unter Windows nutzen zu können, könnt ihr euch in einer Virtuellen Box eine Linuxdistribution installieren und von dort aus mit der Anleitung fortfahren.
Schritt 1: Die Installation der Abhängigkeiten von wpscan könnte ihr unter Ubuntu mit folgendem Befehl tun. Das Projekt läuft über git, daher wird es mit installiert.
sudo apt-get install git libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev
Schritt 2: Das Programm selbst installiert man mit folgenden Befehlen in der Kommandozeile:
git clone https://github.com/wpscanteam/wpscan.git cd wpscan sudo gem install bundler && bundle install --without test
Schritt 3: Ausführen kann man das Program mit folgenden Befehlen. Es gibt jetzt eine Liste mit interessanten Meta-Informationen über die WordPress-Seite aus: Welche Version ist installiert, welches Theme, welche Plugins und welche Versionen jeweils. Es zeigt sogar an, ob es die aktuelle Version ist, oder ob es Updates davon gibt.
ruby wpscan.rb --update ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate p
Die Ausgabe sieht danach etwa so aus.
Gleiches Prinzip gilt für die Suche nach installierten Themes
ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate t
oder nach Benutzern
ruby wpscan.rb --url http(s)://www.deineSeite.com --enumerate u
Das Programm ist sehr mächtig und zeigt einem erstmal, wie verwundbar eine WordPressseite eigentlich ist. Dadurch wird es offensichtlich: man sollte seine Installation sauber halten. Je mehr Plugins man installiert, desto angreifbarer wird die Seite. Jedes Plugin birgt potentielle Sicherheitslücken, die mit wpscan offensichtlich werden.
Es ist wichtig, die Webseite abzusichern. Wenn die Webseite übernommen wird, können Kriminelle ihre verbotenen Daten über den Server verteilen. So wird man schnell zum Mittäter, was sehr gefährlich werden kann.
Ein Schritt gegen Brute-Force Attacken ist der Schutz der wp-login.php, der Schlüsseldatei beim regulären Login auf WordPress. In einem Artikel zu diesem Thema erläutere ich, wieso es so wichtig ist, diese Datei zu schützen. Außerdem zeige ich, wie man mit der .htaccess-Datei die Schutzfunktion von Apache nutzt, um die wp-login.php vor Brute-Force-Angriffen zu schützen.
Weitere Sicherheitsmaßnahmen sind wichtig. Diese kann man mit wpscan direkt testen, was die Wirksamkeit sofort zeigt. Um die Sicherheit von WordPress zu verbessern, sollte man sich mit wpscan befassen.
The post WordPress Sicherheitslücken finden first appeared on bejonet.
WordPress ist ein weit verbreitetes Content-Management-System. Eine sehr große Anzahl an Webseiten weltweit werden damit erstellt. Früher war es rein für Blogs gedacht, doch der weite Umfang der Funktionen, die einfache Handhabbarkeit und die Vielzahl an Erweiterungen hat dazu geführt, dass auch vollwertige Webseiten auf WordPress aufbauen.
Viele der Administratoren sind Laien und lassen sich von der Einfachheit der Software überzeugen. Leider werden so auch oft Updates vernachlässigt und sich auch sonst sehr wenig um die Sicherheit gekümmert. Diese Faktoren – starke Verbreitung, laienhafte Admins, Vielzahl an Plugins – macht WordPress auch attraktiv für Angreifer.
Bruteforce-Angriffe sind bei WordPress-Admins sehr bekannt. Unbekannte versuchen, häufig mit osteuropäischen IPs, durch plumpes Raten die Passwörter zu erhalten. Dabei setzen sie Bots ein, die selbstständig lange Listen an Passwortvorschlägen abarbeiten und so hoffen, das richtige Passwort zu erraten. Der Schutz der wp-login.php über .htaccess ist zumindest der erste Schritt, dieses Verfahren einzudämmen. Doch es gibt noch ein weiteres, sehr großes Fenster, über das Angreifer Eintritt suchen: die xmlrpc.php.
Unter XML-RPC (Extensible Markup Language Remote Procedure Call) versteht man eine Schnittstelle zwischen einem System (hier WordPress) und externen Funktionen. Sie kümmert sich beispielsweise um Pingbacks, also ein- und ausgehende Mitteilungen von anderen Webseiten. Außerdem greifen verschiedene Plugins (wie beispielsweise Jetpack) oder Apps darauf zu. Es ist sozusagen die Schnittstelle zur Außenwelt.
Das wird uns Betreibern nur dann zum Verhängnis, wenn jemand versucht sie zu missbrauchen. Denn abgesehen von den gewollten Funktionen kann man diese Schnittstelle auch für Bruteforce Methoden verwenden. Hier können Angreifer gleich eine Vielzahl an Passwörtern ausprobieren, um das richtige zu erraten.
Seit WordPress 3.5 ist die Datei standardmäßig aktiviert. Vorher musste man im Admin-Panel die Funktion aktivieren.
Die xmlrpc.php hat die primäre Funktion, WordPress zu vernetzen und Funktionen von außerhalb des Admin-Panels zu verwenden. Etliche Plugins brauchen diese Funktion, doch lange nicht jeder Benutzer verwendet solche Erweiterungen. Gerade wer WordPress eher als statische Seite verwendet, kann in der Regel auf die Funktionen der xmlrpc.php verzichten. In diesem Fall bietet sie Angreifern eine potentielle Zielscheibe und macht damit die Seite unsicher.
Es gibt zwei Wege, wie man die Datei sinnvoll deaktiviert. Der erste davon beschreibt, wie man die Funktion „von innen heraus“ deaktiviert. Dazu editiert man die functions.php des aktuellen Themes und fügt dort folgenden Codeschnipsel hinzu.
/* Disable XMLRPC */ add_filter( 'xmlrpc_enabled', '__return_false' );
Die zweite Variante verhindert den Zugriff auf die Datei grundsätzlich. Hierzu ergänzt man die .htaccess-Datei, die man schon zur Beschränkung der wp-login.php verwendet hat, um folgende Textzeilen.
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
Jetzt ist intern die Dateifunktion deaktiviert und auch von außen kann niemand mehr darauf zugreifen. Um seinen Erfolg zu überprüfen, kann man mit wpscan seine WordPress-Installation auf Sicherheitslücken überprüfen und so sehen, ob die xmlrpc.php noch zugänglich ist.
Die wichtigsten Schutzmaßnahmen für WordPress sind die gleichen wie für jede andere Anwendung auch: Verwendet sichere Passwörter und haltet die Software auf dem neuesten Stand, vor allem wenn sicherheitsrelevate Updates erschienen sind.
The post WordPress xmlrpc.php deaktivieren first appeared on bejonet.
Die Sicherheit einer Webseite ist ein sehr wichtiges Thema. Man muss sich stets darum kümmern, auch wenn es lästig sein kann. Wer seine Webseite mit WordPress betriebt hat es auf der einen Seite sehr einfach, auf der anderen Seite aber auch wieder schwierig.
WordPress ist sehr weit verbreitet. Millionen von Webseite laufen über diese Software. Die Entwicklung findet in einer sehr aktiven Community statt. Darin sind viele Sicherheitsexperten, die sich um das Beheben von Sicherheitslücken kümmern. Da diese Software so stark entwickelt wird, bleiben Sicherheitslücken nicht lange offen sondern werden zeitnah geschlossen.
Durch die Popularität von WordPress wird es für Angreifer aber auch wieder attraktiv, die Software zu knacken. Denn hat man einmal eine Lücke gefunden, kann man sie bei vielen Webseiten verwenden. Und schon sind wir beim typischen Katz-und-Maus-Spiel zwischen Hackern und Sicherheitsexperten.
Mit den folgenden Artikeln habe ich Möglichkeiten gezeigt, wie man typische Eintrittstore von WordPress ausfindig macht und wie man wieder schließen kann. Die Goldene Regel der Sicherheit für jegliche Software lautet: Updates installieren, Updates installieren und Updates installieren. Alles weitere habe ich in einzelnen Artikeln zusammengefasst.
Mit der Datei .htaccess auf dem Webserver kann man WordPress serverseitig absichern. Die Angreifer möchten mit ihren Botnetzen das Passwort der Benutzer erraten. Wenn wir unsere Anmeldeseite von WordPress einfach hinter die abschließbare Tür unseres Servers packen, erhöhen wir die Eintrittshürde für Angreifer erheblich. Wie das geht und wie man das ganz genau Installiert, habe ich in einer Schritt-für-Schritt-Anleitung zusammengefasst.
Bei Softwareentwicklern und auch bei Angreifern ist die xmlrpc.php von WordPress sehr beliebt. Sie ist eine Schnittstelle für die Entwickler, worüber sie auf viele Funktionen von WordPress zurückgreifen können. Für Hacker ist das ein gefundenes fressen, denn sie können die Datei verwenden, um massenhaft Passwortanfragen zu stellen. In dieser Anleitung erkläre ich, warum die xmlrpc.php so gefährlich ist und wie man sie deaktivieren kann.
Die Goldene Regel der Sicherheit lautet Updates, Updates, Updates. Doch manchmal verliert man den Überblick über die Software, die in WordPress so eingebunden wird. Dazu zählen natürlich die Plugins, aber auch die Themes von WordPress. Man kann nicht nur im Backend von WordPress erkennen, welche Softwareversion die Plugins haben. Auch über das Frontend bzw. Schnittstellen vom Server kann man die Softwareversionen, und damit den Sicherheitsstatus, erkennen. Was man mit dem Programm wpscan so alles sieht und wie man es verwendet, wird in dieser Anleitung erklärt.
The post WordPress Sicherheit erhöhen: Schritt für Schritt first appeared on bejonet.
Wenn man eine neue Webseite erstellt oder die bestehende Webseite überarbeiten möchte, ist eine „Coming soon“ oder „Bald gibt es etwas neues“-Seite oft angemessen. Da ich häufig Webseiten mit WordPress gestalte, habe ich hierfür auch eine Idee gesucht.
Den Wartungsmodus kann man in WordPress relativ schön gestalten, wenn man das Plugin WP Maintenance Mode installiert. Das Plugin ist schlank und macht genau das was es soll: eine Coming Soon Seite anzeigen.
Das Plugin ist sehr minimalisitisch und bietet ein paar wenige Features. Ich halte mich dabei gerne an die Regel „weniger ist mehr“. Das bedeutet, dass ich meistens nur ein Bild anzeigen lasse. Es gibt noch mehr Möglichkeiten, zum Beispiel ein Countdown und die Möglichkeit, Text zu schreiben. Mir genügt lediglich das Bild.
Ein responsive-Bild lädt man übrigens über den Hintergrund hoch. Er wird standardmäßig über CSS so formatiert, dass immer die volle Breite des Fensters verwendet wird.
Anmelden
background-size: cover;Manche Bilder wirken aber besser, wenn man die volle Höhe anzeigt und die Ränder links und rechts abschneidet. Das kann man machen, wenn man folgenden Code im Plugin-Editor in die Datei wp-maintenance-mode/includes/functions/helpers.php einfügt:
/**
* Add code inside <head></head>
*/
function wpmm_add_code_to_head() {
?>
<style>
.background {background-size: contain;}
</style>
<?php
}
add_action('wpmm_head', 'wpmm_add_code_to_head', 10, 1);The post WordPress-Plugin WP Maintenance Mode first appeared on bejonet.
Es hat ja nun ein wenig gedauert bis ich mich bewegt habe.Ich selbst genieße den Darkmode jeden Abend an meinen Rechnern und sehe Ihn als Standard an.Erzwingen muss ich Ihn via Firefoxplugin bei manchen Seiten, aber sind wir ehrlich, ich bin eigentlich auch nicht besser. So wenig Zeilen Script, so eine positive Änderung für die ... Weiterlesen
Der Beitrag Ein Hauch von Code für den Darkmode erschien zuerst auf Got tty.
Ich habe soeben eines meiner Lieblingsplugins des Jahres entdeckt. Wie eine Seuche greifen die Meldungen im administrativen Bereich von WordPress um sich. Trotz vermehrten Rufe nach einer Änderung gibt es hier nicht wirklich ein Vorankommen. Das Plugin ermöglicht mir die administrativen Meldungen von Plugins komplett abzuschalten, oder auch Meldungen nur für bestimmte Plugins freizugeben. Hier ... Weiterlesen
Der Beitrag WordPress Disable Admin Notice erschien zuerst auf Got tty.
Ab sofort gibt es Turnkey v17.0 und laut eigenen Angaben hat die Entwicklung länger als geplant gedauert. Zumindest sind nun Core und TKLDev fertig und das Team hofft, dass bald mehr v17.0 Appliances verfügbar sind. Eine signifikante Änderung ist, dass Turnkey v17.0 auf Debian 11 Bullseye basiert. Turnkey v17.0 für Raspberry Pi Sehr interessant ist ebenfalls, dass es ein vorläufiges oder experimentelles Image für den Raspberry Pi 4 gibt. Im entsprechenden Thread wird gewarnt, dass der Port alles andere als […]
Der Beitrag Turnkey v17.0 mit experimenteller Unterstützung für Raspberry Pi 4 ist von bitblokes.de.
Update 13.05.2022: Das Plug-in ist in Version 220513 repariert und wurde wieder deaktiviert. Danke an BobaWebDev für den schnellen Fix.
Liebe Leser*innen, leider ist das Plugin Subscribe to Comments Reloaded in der installierten Version 220512 offenbar defekt. Daher habe ich das Plugin vorerst deaktiviert.
Der Fehler wurde bereits in GitHub-Issue 707 gemeldet. Ich hoffe, dass der Fehler bald durch den Anbieter behoben wird.
Die Kommentarfunktion kann weiterhin wie gewohnt genutzt werden. Nur könnt ihr euch aktuell nicht über neue Kommentare benachrichtigen lassen.
WordPress 6.0 bringt viele Verbesserungen und behebt Fehler aus der Vorversion. Die Verbesserungen konzentrieren sich hauptsächlich auf den Blockeditor Gutenberg.
Die neue Version 6.0 des freien Content Management Systems WordPress ist dem Jazzmusiker Arturo O’Farrill gewidmet. WordPress 6.0 “Arturo” hat laut der Ankündigung der Entwickler rund 1000 Verbesserungen und Fehlerkorrekturen dabei.
Zu den Verbesserungen beim Schreiben und der Inhaltserstellung zählen die WordPress-Macher die Möglichkeit, Text in mehreren Blöcken zu markieren, um das Kopieren und Einfügen zu erleichtern. Block-Themes können nun mehrere Stilvarianten enthalten. Damit baue man das neue Style-System weiter aus, heißt es in der Ankündigung. Es sei damit möglich, das Erscheinungsbild einer Website innerhalb eines einzigen Themes zu ändern. Zudem enthalte WordPress 6.0 fünf neue Templates für Block-Themes: Autor, Datum, Kategorien, Tag und Taxonomie.
Integrierte Vorlagen erleichtern die Arbeit. Quelle: WordPress
Das CMS bietet auch Neuerungen bei den integrierten Vorlagen. Die werden jetzt an mehr Stellen angezeigt, etwa im “Quick-Inserter” oder beim Erstellen einer neuen Kopf- oder Fußzeile.
Bei den Designwerkzeugen soll das neue Design des Farbpanels Platz sparen und dennoch Optionen auf einen Blick anzeigen. Neue Steuerelementen für die Umrandung ermöglichen es, Umrandungen einfach zu gestalten.
Die Ankündigung nennt viele weitere Details.
Der Beitrag WordPress 6.0 “Arturo” bringt viel Neues erschien zuerst auf Linux-Magazin.
Der Sicherheitsdienstleister Wordfence hat im WordPress-Plugin Ninja Forms eine kritische Sicherheitslücke entdeckt. Das beliebte Plugin werde auf über einer Million Installationen von WordPress eingesetzt.
Im Plugin haben die Security-Experten eine Code-Injection-Schwachstelle entdeckt, die es nicht authentifizierten Angreifern ermöglicht, eine begrenzte Anzahl von Methoden in verschiedenen Ninja Forms-Klassen aufzurufen, einschließlich einer Methode, die vom Benutzer bereitgestellte Inhalte unserialisiert, was zu einer Object Injection führen könne. Über diese Lücke könnten Angreifern beliebigen Code auszuführen oder beliebige Dateien auf Seiten löschen.
Dieser Fehler sei in den Ninja-Forms-Versionen 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 und 3.6.11 vollständig behoben, teilt Wordfence mit. WordPress scheine zudem ein automatisches Zwangsupdate für dieses Plugin durchgeführt zu haben, sodass möglicherweise bereits eine der gepatchten Versionen verwendet werde. Admins sollten aber dringend sicherstellen, dass eine der gepatchten Versionen zum Einsatz komme, da automatische Updates nicht immer erfolgreich seien.
Der Beitrag Sicherheitslücke in WordPress-Plugin Ninja Forms erschien zuerst auf Linux-Magazin.
Kaufberater.io bewertet intux.de als eine der besten Webseiten 2022.
Dem Team von Kaufberater.io geht es um großartige Inhalte. Deshalb haben wir eine mehrstufige Untersuchung von Websites in verschiedenen Kategorien durchgeführt. Das Ergebnis: Die besten Websites werden mit unserem Qualitätssiegel „Top Webseite 2022“ ausgezeichnet.
Sie haben 35/40 in unsererem großen Webseiten-Vergleich gesammelt und qualifizieren sich damit für unsere Auszeichnung „Beste Webseite 2022“ (mind. 30 / 40 Punkte erforderlich).
Zunächst wurde eine Liste mit allen Websites erstellt. Die Daten stammen aus verschiedenen Datenquellen wie Online-Verzeichnissen und CMS-Systemen (WordPress, Blogspot usw.). Zeitungen, Fachzeitschriften, Portale und ausländische Websites wurden aus der Liste der Kandidaten aussortiert.
Von den übrigen Websites wurden alle Websites entfernt, die weniger als 5 Beiträge pro Jahr veröffentlichten. Darüber hinaus wurden Websites mit sehr geringem monatlichem Datenverkehr aussortiert.
Die übrigen Websites wurden von Kaufberater.io-Experten anhand objektiver und subjektiver Kriterien geprüft. Der Forschungskatalog enthielt Merkmale in 4 Kategorien. Anhand eines Punktesystems wurden dann die Gewinner der Umfrage ermittelt.
Die Auszeichnung basiert auf einer Bewertung in vier Bereichen:
Das Content-Management-System bietet unter anderem e [...]
Der Beitrag Aktualisiertes WordPress verbessert intuitive Seitengestaltung erschien zuerst auf LinuxCommunity.
Das Content-Management-System WordPress 6.1 bietet unter anderem ein neues Theme, hilfreiche Änderungen bei den Templates, verbesserte Barrierefreiheit, überarbeitete Blöcke sowie Fluid Typography.
Die Designvorlage Twenty Twenty-Three bietet zehn verschiedene Style-Variationen, über die Seitenbetreiber mit wenigen Mausklicks schnell eine leicht andere Optik aktivieren können. Das Theme gilt zudem als „ Accessibility Ready“ und folgt damit vorgegebenen Anforderungen an die Barrierefreiheit. Letztgenannte verbessern zudem rund 60 einzelne Updates, die ein eigener Blog-Beitrag zusammenfasst.
Des Weiteren bringt WordPress 6.1 zusätzliche sowie überarbeitete Templates mit. Im Site Editor wartet ein Template für Beiträge und Seiten. Mit einem neuen Suchen-und-Ersetzen-Werkzeug lassen sich schnell Template-Teile, wie etwa Kopf- und Fußzeilen, ändern.
Dank entsprechender Optimierungen lassen sich Design-Elemente, Blöcke und Menüs leichter verwalten. Überarbeitet haben die Entwickler auch die Einstellungen der Beiträge und Seiten. Unter anderem kann man jetzt einfacher den Veröffentlichungszeitpunkt einstellen.
Wie fast in jeder neuen Version offeriert auch WordPress 6.1 zahlreiche kleine Verbesserungen bei den Blöcken, die auf den Seiten die einzelnen Inhalte präsentieren. Sperrt man die Einstellungen eines Blocks für die Bearbeitung, sperrt WordPress auf Wunsch auch alle enthaltenen Blöcke – wie etwa die Blöcke in einer Gruppe oder Spalte. Einige Blöcke bringen verbesserte Platzhalter mit, die einige Design-Vorgaben berücksichtigen. So zeigt beispielsweise der Platzhalter des Image-Blocks den vom Seitenbetreiber eingestellten Rahmen an. Die Blöcke für Listen und Zitate können jetzt andere Blöcke aufnehmen, wodurch beispielsweise ein Zitat auch eine Überschrift enthalten darf.
WordPress 6.1 unterstützt die Technik Fluid Typography, bei der Schriften abhängig von der aktuellen Bildschirm- beziehungsweise Fenstergröße skalieren. Ein neuer Filter erlaubt das schnelle aufspüren von Block-Themes im Themes Directory. Abschließend soll das Content-Management-System flotter als sein Vorgänger arbeiten. WordPress 6.1 ist dem Jazz-Pianisten Mikhail „Misha“ Alperin gewidmet.
Der Beitrag WordPress 6.1 verbessert intuitive Seitengestaltung erschien zuerst auf Linux-Magazin.
Der Umzug meiner Website zum Hoster all-inkl.com gestaltete sich etwas holprig. Nun sind aber zum Glück alle Artikel wieder verfügbar. Auf ein Problem stieß ich im Nachhinein dennoch. Und zwar gibt es im Footer den Bereich „Redaktionstipp„. Dieser füllte sich, als die Seite noch auf meinem Server lief, automatisch. Nach dem Umzug blieb diese Kategorie jedoch leer.
Das von mir verwendete Theme Newspaper von tagDiv bietet zwar zahlreiche Möglichkeiten der Darstellung meiner WordPress-Seite, jedoch erschloss sich mir nicht, wie ich Artikel in die zuvor erwähnte Rubrik schieben bzw. darstellen konnte. Nach ein wenig Recherche im Support-Forum fand ich dann den ausschlaggebenden Hinweis zu den fehlenden Redaktionstipps. Die Lösung ist hierbei relativ einfach. Ich musste nur die Kategorie „Featured“ anlegen. Hierüber kann ich nun Beiträge wie gewünscht kennzeichnen und darstellen lassen.
In letzter Zeit rollt wieder eine Abmahnwelle übers Land, die den ein oder anderen Betreiber eigener kleiner WordPress-Seiten kalt erwischen dürfte. Dieses Mal ist der Stein des Anstoßes die mögliche Einbinung von Google Fonts. Nicht, dass die Verwendung dieser Schriftarten nicht erlaubt wäre. Nein, es geht darum, dass diese Schriftarten von Google beim Aufruf der Seite i.d.R. erst heruntergeladen werden und es hierbei zu einem Austausch von IP-Adressen kommt, was kritisch bewertet wird.
Ob die eigene Webseite nun tatsächlich Google Fonts verwendet, welche temporär herunter geladen werden, kann man hier checken: https://www.e-recht24.de/google-fonts-scanner
Abhilfe schafft hier das Plugin Local Google Fonts. Dieses aktiviert man und setzt das Häkchen „Schriften automatisch laden“ (siehe Grafik). Danach besucht man die eigene Seite und klickt sich durch die Inhalte. Die entdeckten Google-Schriftarten werden nun lokal auf die Webseite geladen. Der Besucher bekommt diese dann nun direkt von der Webseite ausgeliefert und tauscht somit keine IP-Adressen mit Dritten (Google) aus.
Nach einem kurzen Umzug letzte Woche in Richtung PHP 8.0 bzw. PHP 8.1 verweigerte WordPress leider den Dienst. Scheinbar habe ich es mir leichter vorgestellt als es in Wirklichkeit sein sollte. Hier kann nur mein veraltetes Theme und vielleicht ein Plugin die Ursache sein. Um einen Überblick über die letzten Updates der Plugins in WordPress ... Weiterlesen
Der Beitrag Das Blog auf PHP8 umziehen erschien zuerst auf Got tty.
Das WordPress-Plugin Learnpress in Versionen 4.1.7.3.2 und kleiner weist kritische Sicherheitslücken auf. Mit über 100.000 aktiven Installationen ist das umfangreiche Lernmanagement-Plugin sehr populär.
Mit Learnpress lassen sich einfach Kurse online erstellen und verkaufen. Anbieter Patchstack meldet mehrere kritische Sicherheitslücken im Plugin. Ein Update auf beseitigt die Probleme
Diese Schwachstellen ermöglichen es jedem nicht authentifizierten Benutzer, eine SQL-Abfrage in die Datenbank einzuschleusen und eine lokale Dateieinbindung durchzuführen. Zudem sei eine weitere SQL-Injection gefunden worden, für deren Ausnutzung ein Benutzer aber mit mindestens der Rolle “Contributor” erforderlich wäre.
Die beschriebenen Sicherheitslücken seien in Version 4.2.0 behoben, teilt Patchstack mit. Die neue Version ist bereits seit einigen Wochen zu haben, es seien aber noch viele Installationen nicht auf dem aktuellen Stand.
Der Beitrag Sicherheitslücken in WordPress-Plugin Learnpress erschien zuerst auf Linux-Magazin.
Internet- bzw. Webseiten-Besitzer brauchen einen sicheren Zugang auf all Ihre Informationen im Internet. Dies wird unter den Herausforderungen der aktuellen Zeit aus IT-Sicht immer bedeutender. Man denke nur an unbefugte Zugriffe auf Ihre Webseite oder einen Hackerangriff, bei dem heikle Daten gestohlen werden könnten. Aus diesen Gründen ist es wichtig, auf das richtige Webhosting vertrauen zu können. Auf dem Computersystem können all diese Informationen sicher verwahrt werden, wenn bestimmte Kriterien eingehalten werden. Der Kern des Hosting-Programms ist das Computersystem auf dem die Webseiten gehostet werden. Als Internetbenutzer müssen Sie Ihre Webseite unter Ihrem Browser suchen bzw. verwenden. Das ermöglicht Ihnen den Zugriff auf die eigene Webseite. Wenn eine sichere Verbindung gefunden worden ist, wird der Computer diese manifestieren. Steht diese Verbindung erst einmal, dann lässt sich über diese Verbindung ein Datenfenster zum Webserver herstellen. Bei der Auswahl einer sicheren Verbindung ist man stark von der Wahl des Hosting-Anbieters bzw. des Servicepakets abhängig. Man unterscheidet zwischen verschiedenen Hosting-Modellen auf die wir im folgenden Unterkapitel kurz näher eingehen möchten.
Sie werden es kaum glauben, aber es wird auch heute noch kostenloses Hosting dem Kunden angeboten. Von diesem Paket dürfen Sie sich allerdings nicht allzu viel erwarten. Es gilt aber als Basisversion, die durchaus als Einstiegspaket gedacht ist. Ein kostenloser Webhosting Dienst bietet diesen Service unter Einschränkungen für eine eingeschränkte Anzahl an Webseiten an. Ein bedeutender Service ist das sogenannte virtuelle Webhosting. Bei diesem Service können verschiedene Webseiten auf einem einzigen Webserver gehostet werden. Eine Voraussetzung ist die Verbindung zum Internet.
Damit lässt sich bereits der Start einer Influencer Karriere aufbauen. Der Vorteil liegt vor allem bei einem sehr günstigen Preis. Für einen erschwinglichen Preis erhalten Sie inzwischen gute Leistungspakete. Ebenso bieten viele Anbieter einen technischen Kundendienst an. Interessant dürfte vielleicht auch ein sogenanntes dediziertes Hosting sein. Dieser Service wurde speziell für Webseiten mit einem hohen Traffic-Volumen hergestellt. Hier wird ein kompletter Webserver angemietet und die sichere Internetverbindung läuft über ein Hosting-Unternehmen. Vor allem Unternehmen mit einem starken Wachstum werden auf diesen Service zurückgreifen. Große Webseiten mit einem hohen Datenaufkommen sind bei diesem Service bestens aufgehoben.
Am 11. und 12 März 2023 finden nach dreijähriger Zwangspause endlich wieder die Chemnitzer Linux-Tage an der TU Chemnitz statt. Unter dem Motto „Bewusst sein“ treffen sich zahlreiche Aussteller, Vortragende und Besucher zum Thema Linux und freie Software auf dem Uni-Campus.
Ich freute mich riesig dieses Event nach 2019 wieder besuchen zu können, um interessante Leute zu treffen und Gedanken auszutauschen. Am ersten Tag verabredete ich mich mit meinem Mitstreiter Andi alias Waldstepper aus Berlin, um gemeinsam einige Vorträge zu besuchen.
Das Highlight war einmal mehr der lebendige Beitrag „Nachhaltiges Computing mit KNOPPIX“ von Prof. Dipl.-Ing. Klaus Knopper. Überlegungen zu CO2-Fußabdrücken des von Knopper entwickelten Betriebssystems sowie Einblicke in das Innenleben dieser Live-Distribution stießen auf reges Interesse.
Natürlich konnte ich noch weiteren interessanten Vorträgen lauschen, wie VPN via WireGuard, Programmierung mit Scratch und Ausführungen zur komplexen Thematik Linux-Desktop, wo darüber philosophiert wurde, warum sich das OS bis heute noch nicht im Desktopbereich durchsetzen konnte und was nötig wäre, um ein solches Projekt zu realisieren. Hier gab es natürlich interessante und praxisnahe Ansätze, die zum Nachdenken anregten.
Einige gute Gespräche konnte ich auch an den Ständen von den Ubuntuusers, der FSFE, TUXEDO, Linuxnews, LibreOffice und den CMS Gardeners führen.
Alles in allem war es heute ein interessanter und informativer Tag an der TU, der morgen seine Fortsetzung findet.
Wie bei jeder neuen Version bringt auch die jüngste [...]
Der Beitrag Aktualisiertes WordPress bietet rund 300 Verbesserungen erschien zuerst auf LinuxCommunity.
